CISP相关试题和答案集

...wd......wd......wd...1.人们对信息安全的认识从信息技术安全开展到信息安全保障，主要是出于：AA.为了更好的完成组织机构的使命B.针对信息系统的攻击方式发生重大变化C.风险控制技术得到革命性的开展D.除了保密性，信息的完整性和可用性也引起了人们的关注2.?GB/T20274信息系统安全保障评估框架?中的信息系统安全保障级中的级别是指：CA.对抗级B.防护级C.能力级D.监管级3.下面对信息安全特征和范畴的说法错误的选项是：CA.信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑人员、管理、政策等众多因素B.信息安全是一个动态的问题，他随着信息技术的开展普及，以及产业根基，用户认识、投入产出而开展C.信息安全是无边界的安全，互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的D.信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点4.美国国防部提出的?信息保障技术框架?〔IATF〕在描述信息系统的安全需求时，将信息技术系统分为：BA.内网和外网两个局部B.本地计算机环境、区域边界、网络和根基设施、支撑性根基设施四个局部C.用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个局部D.信用户终端、服务器、系统软件、网络设备和通信线路、应用软件，安全防护措施六个局部5.关于信息安全策略的说法中，下面说法正确的选项是：CA.信息安全策略的制定是以信息系统的规模为根基B.信息安全策略的制定是以信息系统的网络C.信息安全策略是以信息系统风险管理为根基D.在信息系统尚未建设完成之前，无法确定信息安全策略6.以下对于信息安全保障深度防御模型的说法错误的选项是：CA.信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成局部，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。B.信息安全管理和工程：信息安全保障需要在整个组织机构内建设和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。C.信息安全人才体系：在组织机构中应建设完善的安全意识，培训体系无关紧要D.信息安全技术方案：“从外而内、自下而上、形成端到端的防护能力〞7.全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业开展三方面的共同要求。“加快信息安全人才培训，增强全民信息安全意识〞的指导精神，是以下哪一个国家政策文件提出的AA.?国家信息化领导小组关于加强信息安全保障工作的意见?B.?信息安全等级保护管理方法?C.?中华人民共和国计算机信息系统安全保护条例?D.?关于加强政府信息系统安全和保密管理工作的通知?8.一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一个部门报案AA.公安部公共信息网络安全监察局及其各地相应部门B.国家计算机网络与信息安全管理中心C.互联网安全协会D.信息安全产业商会9.以下哪个不是?商用密码管理条例?规定的内容：DA.国家密码管理委员会及其办公室〔简称密码管理机构〕主管全国的商用密码管理工作B.商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理C.商用密码产品由国家密码管理机构许可的单位销售D.个人可以使用经国家密码管理机构认可之外的商用密码产品10.对涉密系统进展安全保密测评应当依据以下哪个标准BA.BMB20-2007?涉及国家秘密的计算机信息系统分级保护管理标准?B.BMB22-2007?涉及国家秘密的计算机信息系统分级保护测评指南?C.GB17859-1999?计算机信息系统安全保护等级划分准那么?D.GB/T20271-2006?信息安全技术信息系统统用安全技术要求?11.下面对于CC的“保护轮廓〞〔PP〕的说法最准确的是：CA.对系统防护强度的描述B.对评估对象系统进展标准化的描述C.对一类TOE的安全需求，进展与技术实现无关的描述D.由一系列保证组件构成的包，可以代表预先定义的保证尺度12.关于ISO/IEC21827:2002(SSE-CMM)描述不正确的选项是：DA.SSE-CMM是关于信息安全建设工程实施方面的标准B.SSE-CMM的目的是建设和完善一套成熟的、可度量的安全工程过程C.SSE-CMM模型定义了一个安全工程应有的特征，这些特征是完善的安全工程的基本保证D.SSE-CMM是用于对信息系统的安全等级进展评估的标准13.下面哪个不是ISO27000系列包含的标准DA.?信息安全管理体系要求?B.?信息安全风险管理?C.?信息安全度量?D.?信息安全评估标准?14.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特征AA.ITSECB.TCSECC.GB/T9387.2D.彩虹系列的橙皮书15.下面哪项不是?信息安全等级保护管理方法?〔公通字【2007】43号〕规定的内容DA.国家信息安全等级保护坚持自主定级、自主保护的原那么B.国家指定专门部门对信息系统安全等级保护工作进展专门的监视和检查C.跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级D.第二级信息系统应当每年至少进展一次等级测评，第三级信息系统应当每少进展一次等级测评16.触犯新刑法285条规定的非法侵入计算机系统罪可判处___A__。A.三年以下有期徒刑或拘役B.1000元罚款C.三年以上五年以下有期徒刑D.10000元罚款17.常见密码系统包含的元素是：CA.明文，密文，信道，加密算法，解密算法B.明文，摘要，信道，加密算法，解密算法C.明文，密文，密钥，加密算法，解密算法D.消息，密文，信道，加密算法，解密算法18.公钥密码算法和对称密码算法相比，在应用上的优势是：DA.密钥长度更长B.加密速度更快C.安全性更高D.密钥管理更方便19.以下哪一个密码学手段不需要共享密钥BA.消息认证B.消息摘要C.加密解密D.数字签名20.以下哪种算法通常不被用户保证保密性DA.AESB.RC4C.RSAD.MD521.数字签名应具有的性质不包括：CA.能够验证签名者B.能够认证被签名消息C.能够保护被签名的数据机密性D.签名必须能够由第三方验证22.认证中心〔CA〕的核心职责是__A___。A.签发和管理数字证书B.验证信息C.公布黑名单D.撤销用户的证书23.以下对于安全套接层〔SSL〕的说法正确的选项是：CA.主要是使用对称密钥体制和X.509数字证书技术保护信息传输的机密性和完整性B.可以在网络层建设VPNC.主要使用于点对点之间的信息传输，常用Webserver方式D.包含三个主要协议：AH,ESP,IKE24.下面对访问控制技术描述最准确的是：CA.保证系统资源的可靠性B.实现系统资源的可追查性C.防止对系统资源的非授权访问D.保证系统资源的可信性25.以下关于访问控制表和访问能力表的说法正确的选项是：DA.访问能力表表示每个客体可以被访问的主体及其权限B.访问控制表说明了每个主体可以访问的客体及权限C.访问控制表一般随主体一起保存D.访问能力表更容易实现访问权限的传递，但回收访问权限较困难26.下面哪一项访问控制模型使用安全标签〔securitylabels〕CA.自主访问控制B.非自主访问控制C.强制访问控制D.基于角色的访问控制27.某个客户的网络限制可以正常访问internet互联网，共有200台终端PC但此客户从ISP〔互联网络服务提供商〕里只获得了16个公有的IPv4地址，最多也只有16台PC可以访问互联网，要想让全部200台终端PC访问internet互联网最好采取什么方法或技术：BA.花更多的人民币向ISP申请更多的IP地址B.在网络的出口路由器上做源NATC.在网络的出口路由器上做目的NATD.在网络出口处增加一定数量的路由器28.WAPI采用的是什么加密算法AA.我国自主研发的公开密钥体制的椭圆曲线密码算法B.国际上通行的商用加密标准C.国家密码管理委员会办公室批准的流加密标准D.国际通行的哈希算法29.以下哪种无线加密标准的安全性最弱AA.wepB.wpaC.wpa2D.wapi30.以下哪个不是防火墙具备的功能DA.防火墙是指设置在不同网络或网络安全域〔公共网和企业内部网〕之间的一系列部件的组合B.它是不同网络〔安全域〕之间的唯一出入口C.能根据企业的安全政策控制〔允许、拒绝、监测〕出入网络的信息流D.防止来源于内部的威胁和攻击31.桥接或透明模式是目前对比流行的防火墙部署方式，这种方式的优点不包括：DA.不需要对原有的网络配置进展修改B.性能对比高C.防火墙本身不容易受到攻击D.易于在防火墙上实现NAT32.有一类IDS系统将所观察到的活动同认为正常的活动进展对比并识别重要的偏差来发现入侵事件，这种机制称作：AA.异常检测B.特征检测C.差距分析D.比照分析33.在Unix系统中，/etc/service文件记录了什么内容AA.记录一些常用的接口及其所提供的服务的对应关系B.决定inetd启动网络服务时，启动哪些服务C.定义了系统缺省运行级别，系统进入新运行级别需要做什么D.包含了系统的一些启动脚本34.以下哪个对windows系统日志的描述是错误的DA.windows系统默认有三个日志，系统日志、应用程序日志、安全日志B.系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件或者硬件和控制器的故障C.应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL〔动态链接库〕失败的信息D.安全日志跟踪各类网络入侵事件，例如拒绝服务攻击、口令暴力破解等35.在关系型数据库系统中通过“视图〔view〕〞技术，可以实现以下哪一种安全原那么AA.纵深防御原那么B.最小权限原那么C.职责别离原那么D.安全性与便利性平衡原那么36.数据库事务日志的用途是什么BA.事务处理B.数据恢复C.完整性约束D.保密性控制37.下面对于cookie的说法错误的选项是：DA.cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息B.cookie可以存储一些敏感的用户信息，从而造成一定的安全风险C.通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗D.防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法38.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行，这是哪种类型的漏洞DA.缓冲区溢出B.SQL注入C.设计错误D.跨站脚本39.通常在网站数据库中，用户信息中的密码一项，是以哪种形式存在CA.明文形式存在B.服务器加密后的密文形式存在C.hash运算后的消息摘要值存在D.用户自己加密后的密文形式存在40.以下属于DDOS攻击的是：BA.Men-in-Middle攻击B.SYN洪水攻击C.TCP连接攻击D.SQL注入攻击41.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况属于哪一种攻击DA.重放攻击B.Smurf攻击C.字典攻击D.中间人攻击42.渗透性测试的第一步是：A.信息收集B.漏洞分析与目标选定C.拒绝服务攻击D.尝试漏洞利用43.通过网页上的钓鱼攻击来获取密码的方式，实质上是一种：A.社会工程学攻击B.密码分析学C.旁路攻击D.暴力破解攻击44.以下哪个不是减少软件自身的安全漏洞和缓解软件自身安全漏洞的危害的方法A.加强软件的安全需求分析，准确定义安全需求B.设计符合安全准那么的功能、安全功能与安全策略C.标准开发的代码，符合安全编码标准D.编制详细软件安全使用手册，帮助设置良好的安全使用习惯45.根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中____确立安全解决方案的置信度并且把这样的置信度传递给客户。A.保证过程B.风险过程C.工程和保证过程D.安全工程过程46.以下哪项不是SSE-CMM模型中工程过程的过程区A.明确安全需求B.评估影响C.提供安全输入D.协调安全47.SSE-CMM工程过程区域中的风险过程包含哪些过程区域A.评估威胁、评估脆弱性、评估影响B.评估威胁、评估脆弱性、评估安全风险C.评估威胁、评估脆弱性、评估影响、评估安全风险D.评估威胁、评估脆弱性、评估影响、验证和证实安全48.在IT工程管理中为了保证系统的安全性，应当充分考虑对数据的正确处理，以下哪一项不是对数据输入进展校验可以实现的安全目标：A.防止出现数据范围以外的值B.防止出现错误的数据处理顺序C.防止缓冲区溢出攻击D.防止代码注入攻击49.信息安全工程监理工程师不需要做的工作是：A.编写验收测试方案B.审核验收测试方案C.监视验收测试过程D.审核验收测试报告50.下面哪一项为哪一项监理单位在招标阶段质量控制的内容A.协助建设单位提出工程需求，确定工程的整体质量目标B.根据监理单位的信息安全保障知识和工程经历完成招标文件中的技术需求局部C.进展风险评估和需求分析完成招标文件中的技术需求局部D.对标书应答的技术局部进展审核，修改其中不满足安全需求的内容51.信息安全保障强调安全是动态的安全，意味着：A.信息安全是一个不确定性的概念B.信息安全是一个主观的概念C.信息安全必须覆盖信息系统整个生命周期，随着安全风险的变化有针对性的进展调整D.信息安全只能是保证信息系统在有限物理范围内的安全，无法保证整个信息系统的安全52.关于信息保障技术框架〔IATF〕，以下说法错误的选项是：A.IATF强调深度防御，关注本地计算环境，区域边界，网络和根基设施，支撑性根基设施等多个领域的安全保障；B．IATF强调深度防御，即对信息系统采用多层防护，实现组织的业务安全运作C.IATF强调从技术、管理和人等多个角度来保障信息系统的安全D.IATF强调的是以安全监测、漏洞监测和自适用填充“安全间隙〞为循环来提高网络安全53.下面哪一项表示了信息不被非法篡改的属性A.可存在性B.完整性C.准确性D.参考完整性54.以下关于信息系统安全保障是主观和客观的结合说法最准确的是：A．信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理，安全工程和人员安全等，以全面保障信息系统安全B.通过在技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。C.是一种通过客观证据向信息系统评估者提供主观信心的活动D.是主观和客观综合评估的结果55.公钥密码算法和对称密码算法相比，在应用上的优势是：A.密钥长度更长B.加密速度更快C.安全性更高D.密钥管理更方便56.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换A.DSSB.Diffse-HellmanC.RSADAES57.目前对MD5，SHA1算法的攻击是指：A.能够构造出两个不同的消息，这两个消息产生了一样的消息摘要B.对于一个的消息摘要，能够构造出一个不同的消息，这两个消息产生了一样的消息摘要。C．对于一个的消息摘要，能够恢复其原始消息D.对于一个的消息，能够构造一个不同的消息摘要，也能通过验证。58、DSA算法不提供以下哪种服务A.数据完整性B.加密C.数字签名D.认证59.关于PKI/CA证书，下面哪一种说法是错误的：A.证书上具有证书授权中心的数字签名B.证书上列有证书拥有者的基本信息C.证书上列有证书拥有者的公开密钥D.证书上列有证书拥有者的秘密密钥60认证中心〔CA〕的核心职责是_________?A.签发和管理数字证书B.验证信息C.公布黑名单D.撤销用户的证书61以下哪一项为哪一项虚拟专用网络〔VPN〕的安全功能?A.验证，访问控制和密码B.隧道，防火墙和拨号C.加密，鉴别和密钥管理D.压缩，解密和密码62以下对Kerberos协议过程说法正确的选项是:A.协议可以分为两个步骤：一是用户身份鉴别：二是获取请求服务B.协议可以分为两个步骤：一是获得票据许可票据；二是获取请求服务C.协议可以分为三个步骤：一是用户身份鉴别；二是获得票据许可票据；三是获得服务许可票据D.协议可以分为三个步骤：一是获得票据许可票据；二是获得服务许可票据；三是获得服务63在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性。以下哪一层提供了保密性、身份鉴别、数据完整性服务A.网络层B.表示层C.会话层D.物理层64以下哪种无线加密标准的安全性最弱A.WepBWpaCWpa2DWapi65.Linux系统的用户信息保存在passwd中，某用户条目backup:*:34:34:backup:/var/backups:/bin/sh,以下关于该账号的描述不正确的选项是：A.backup账号没有设置登录密码B.backup账号的默认主目录是/var/backupsC.Backup账号登录后使用的shell是bin/shD.Backup账号是无法进展登录66以下关于linux超级权限的说明，不正确的选项是：A.一般情况下，为了系统安全，对于一般常规级别的应用，不需要root用户来操作完成B.普通用户可以通过su和sudo来获得系统的超级权限C.对系统日志的管理，添加和删除用户等管理工作，必须以root用户登录才能进展D.Root是系统的超级用户，无论是否为文件和程序的所有者都具有访问权限67在WINDOWS操作系统中，欲限制用户无效登录的次数，应当若何做A.在“本地安全设置〞中对“密码策略〞进展设置B.在“本地安全设置〞中对“账户锁定策略〞进展设置C.在“本地安全设置〞中对“审核策略〞进展设置D.在“本地安全设置〞中对“用户权利指派〞进展设置68.以下对WINDOWS系统日志的描述错误的选项是：A.windows系统默认的由三个日志，系统日志，应用程序日志，安全日志B．系统日志跟踪各种各样的系统事件，例如跟踪系统启动过程中的事件或者硬件和控制器的故障。C．应用日志跟踪应用程序关联的事件，例如应用程序产生的装载DLL〔动态链接库〕失败的信息D.安全日志跟踪各类网络入侵事件，例如拒绝服务攻击、口令暴力破解等69以下关于windowsSAM〔安全账户管理器〕的说法错误的选项是：A.安全账户管理器〔SAM〕具体表现就是%SystemRoot%\system32\config\samB.安全账户管理器〔SAM〕存储的账号信息是存储在注册表中C.安全账户管理器〔SAM〕存储的账号信息对administrator和system是可读和可写的D.安全账户管理器〔SAM〕是windows的用户数据库，系统进程通过SecurityAccountsManager服务进展访问和操作70在关系型数据库系统中通过“视图〔view〕〞技术，可以实现以下哪一种安全原那么A.纵深防御原那么B.最小权限原那么C.职责别离原那么D.安全性与便利性平衡原那么71、以下哪项不是安全管理方面的标准AISO27001BISO13335CGB/T22080DGB/T1833672、目前，我国信息安全管理格局是一个多方“齐抓共管〞的体制，多头管理现状决定法出多门，?计算机信息系统国际联网保密管理规定?是由以下哪个部门所制定的规章制度?A.公安部B.国家密码局C.信息产业部D.国家密码管理委员会办公室73、以下哪项不是?信息安全等级保护管理方法?〔公通字[2007]43号〕规定的内容：A．国家信息安全等级保护坚持自主定级，自主保护的原那么。B．国家指定专门部门对信息系统安全等级保护工作进展专门的监视和检查。C．跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级D．第二级信息系统应当每年至少进展一次等级测评，第三级信息系统应当每半年至少进展一次等级测评。74、?刑法?第六章第285、286、287条对计算机犯罪的内容和量刑进展了明确的规定，以下哪一项不是其中规定的罪行A.非法入侵计算机信息系统罪B.破坏计算机信息系统罪C.利用计算机实施犯罪D.国家重要信息系统管理者玩忽职守罪75、一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一个部门报案A.公安部公共信息网络安全监察局及其各地相应部门B.国家计算机网络与信息安全管理中心C.互联网安全协会D.信息安全产业商会76、以下哪个不是?商用密码管理条例?规定的内容A.国家密码管理委员会及其办公室〔简称密码管理机构〕主管全国的商用密码管理工作B.商用密码技术属于国家秘密，国家对商用密码产品的科研、生产、销售和使用实行专控管理C.商用密码产品由国家密码管理机构许可的单位销售D.个人可以使用经国家密码管理机构认可之外的商用密码产品77、下面关于?中华人民共和国保守国家秘密法?的说法错误的选项是：A.秘密都有时间性，永久保密是没有的B.?保密法?规定一切公民都有保守国家秘密的义务C.国家秘密的级别分为“绝密〞“机密〞“秘密〞三级D.在给文件确定密级时，从保密的目的出发，应将密级尽量定高78.数据库事务日志的用途是:A.事务处理B.数据恢复C.完整性约束D．保密性控制79.下面对于cookie的说法错误的选项是：A.cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息。B.cookie可以存储一些敏感的用户信息，从而造成一定的安全风险C.通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗D.防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法。80.攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚步将被解释执行，这是哪种类型的漏洞A.缓冲区溢出B.sql注入C.设计错误D.跨站脚本81.通常在网站数据库中，用户信息中的密码一项，是以哪种形式存在A.明文形式存在B.服务器加密后的密文形式存在C.hash运算后的消息摘要值存在D.用户自己加密后的密文形式存在82.以下对跨站脚本攻击〔XSS〕的描述正确的选项是：A.XSS攻击指的是恶意攻击者往WED页面里插入恶意代码，当用户浏览浏览该页之时，嵌入其中WEB里面的代码会执行，从而到达恶意攻击用户的特殊目的B.XSS攻击时DDOS攻击的一种变种C.XSS攻击就是CC攻击D.XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求，迫使IIS连接数超出限制，当CPU资源或者带宽资源耗尽，那么网站也就被攻击垮了，从而到达攻击目的83以下哪种技术不是恶意代码的生产技术A.反跟踪技术、B.加密技术C.模糊变换技术D.自动解压缩技术84当用户输入的数据被一个解释器当做命令或查询语句的一局部执行时，就会产生哪种类型的漏洞A.缓冲区溢出B.设计错误C.信息泄露D.代码注入85Smurf利用以下哪种协议进展攻击A.ICMPB.IGMPC.TCPD.UDP86.如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况属于哪一种攻击A.重放攻击B.Smurf攻击C.字典攻击D.中间人攻击87渗透性测试的第一步是:A.信息收集B.漏洞分析与目标选定C.拒绝服务攻击D.尝试漏洞利用88软件安全开发中软件安全需求分析阶段的主要目的是：A.确定软件的攻击面，根据攻击面制定软件安全防护策略B.确定软件在方案运行环境中运行的最低安全要求C.确定安全质量标准，实施安全和隐私风险评估D.确定开发团队关键里程碑和交付成果89.管理者何时可以根据风险分析结果对已识别的风险不采取措施A．当必须的安全对策的成本高出实际风险的可能造成的潜在费用时B．当风险减轻方法提高业务生产力时C．当引起风险发生的情况不在部门控制范围之内时D．不可承受90以下关于风险管理的描述不正确的选项是：A风险的4种控制方法有：降低风险/转嫁风险/躲避风险/承受风险B信息安全风险管理是否成功在于风险是否被切实消除了C组织应依据信息安全方针和组织要求的安全保证程度来确定需要处理的信息安全风险D信息安全风险管理是基于可承受的成本，对影响信息系统的安全风险进展识别、控制、降低或转移的过程91如果你作为甲方负责监管一个信息安全工程工程的实施，当乙方提出一项工程变更时你最应当关注的是：A.变更的流程是否符合预先的规定B.变更是否工程进度造成拖延C.变更的原因和造成的影响D.变更后是否进展了准确的记录92应当如可理解信息安全管理体系中的“信息安全策略〞A为了到达若何保护标准而提出的一系列建议B为了定义访问控制需求而产生出来的一些通用性指引C组织高层对信息安全工作意图的正式表达D一种分阶段的安全处理结果93以下关于“最小特权〞安全管理原那么理解正确的选项是：A.组织机构内的敏感岗位不能由一个人长期负责B.对重要的工作进展分解，分配给不同人员完成C.一个人有且仅有其执行岗位所足够的许可和权限D.防止员工由一个岗位变动到另一个岗位，累积越来越多的权限94作为一个组织中的信息系统普通用户，以下哪一项不是必须了解的A.谁负责信息安全管理制度的制度和发布B.谁负责监视信息安全制度的执行C.信息系统发生灾难后，进展恢复的整体工作流程D.如果违反了安全制度可能会受到的惩戒措施95职责别离是信息安全管理的一个基本概念，其关键是权力不能过分集中在某一个人手中。职责别离的目的是确保没有单独的人员〔单独进展操作〕可以对应用程序系统特征或控制功能进展破坏。当以下哪一类人员访问安全系统软件的时候，会造成对“职责别离〞原那么的违背A．数据安全管理员B．数据安全分析员C．系统审核员D．系统程序员96在国家标准?信息系统恢复标准?中，根据----要素，将灾难恢复等级划分为_____级A．7，6B．6，7C．7，7D．6，697在业务持续性方案中，RTO指的是：A．灾难备份和恢复B．恢复技术工程C．业务恢复时间目标D．业务恢复点目标98应急方法学定义了安全事件处理的流程，这个流程的顺序是：A.准备-抑制-检测-铲除-恢复-跟进B.准备-检测-抑制-恢复-铲除-跟进C.准备-检测-抑制-铲除-恢复-跟进D.准备-抑制-铲除-检测-恢复-跟进99.下面有关能力成熟度模型的说法错误的选项是：A.能力成熟度模型可以分为过程能力方案〔Continuous〕和组织能力方案〔Staged〕两类B.使用过程能力方案时，可以灵活选择评估和改良哪个或哪些过程域C.使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域DSSE-CMM是一种属于组织能力方案〔Staged〕的针对系统安全工程的能力成熟度模型100.下面哪一项为系统安全工程成熟度模型提供了评估方法：A.ISSEB.SSAMC.SSRD.CEM101、下面关于信息安全保障的说法错误的选项是：A.信息安全保障的概念是与信息安全的概念同时产生的B.信息系统安全保障要素包括信息的完整性，可用性和保密性C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段D.信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施各种保障要素，在系统的生命周期内确保信息的安全属性。102、以下哪一项为哪一项数据完整性得到保护的例子A.某网站在访问量突然增加时对用户连接数量进展了限制，保证已登录的用户可以完成操作B.在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进展了冲正操作C.某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进展了什么操作D.李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看103、注重安全管理体系建设，人员意识的培训和教育，是信息安全开展哪一个阶段的特点A.通信安全B.计算机安全C.信息安全D.信息安全保障104、以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一A.提高信息技术产品的国产化率B.保证信息安全资金注入C.加快信息安全人才培养D.重视信息安全应急处理工作105、以下关于置换密码的说法正确的选项是：A.明文根据密钥被不同的密文字母代替B.明文字母不变，仅仅是位置根据密钥发生改变C.明文和密钥的每个bit异或D.明文根据密钥作了移位106、以下关于代替密码的说法正确的选项是：A.明文根据密钥被不同的密文字母代替B.明文字母不变，仅仅是位置根据密钥发生改变C.明文和密钥的每个bit异或D.明文根据密钥作了移位107、常见密码系统包含的元素是：A.明文、密文、信道、加密算法、解密算法B.明文、摘要、信道、加密算法、解密算C.明文、密文、密钥、加密算法、解密算法D.消息、密文、信道、加密算法、解密算法108、在密码学的Kerchhoff假设中，密码系统的安全性仅依赖于____________________A.明文B.密文C.密钥D.信道109、PKI在验证一个数字证书时需要查看_________来确认该证书是否已经作废A.ARL

B.CSS

C.KMS

D.CRL110、一项功能可以不由认证中心CA完成A.撤销和中止用户的证书B.产生并分布CA的公钥C.在请求实体和它的公钥间建设链接D.发放并分发用户的证书111、一项为哪一项虚拟专用网络〔VPN〕的安全功能A.验证，访问控制盒密码B.隧道，防火墙和拨号C.加密，鉴别和密钥管理D.压缩，解密和密码112、为了防止授权用户不会对数据进展未经授权的修改，需要实施对数据的完整性保护，列哪一项最好地描述了星或〔*-〕完整性原那么A.Bell-LaPadula模型中的不允许向下写B.Bell-LaPadula模型中的不允许向上度C.Biba模型中的不允许向上写D.Biba模型中的不允许向下读113、下面哪一个情景属于身份鉴别〔Authentication〕过程A.用户依照系统提示输入用户名和口令B.用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改C.用户使用加密软件对自己编写的office文档进展加密，以阻止其他人得到这份拷贝后看到文档中的内容D.某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程记录在系统日志中114、以下对Kerberos协议特点描述不正确的选项是：A.协议采用单点登录技术，无法实现分布式网络环境下的认证B.协议与授权机制相结合，支持双向的身份认证C.只要用户拿到了TGT并且该TGT没有过期，就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码D.AS和TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全115、TACACS+协议提供了以下哪一种访问控制机制A.强制访问控制B.自主访问控制C.分布式访问控制D.集中式访问控制116、以下对蜜网功能描述不正确的选项是：A.可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击B.吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来C.可以进展攻击检测和实时报警D.可以对攻击活动进展监视、检测和分析117、以下对审计系统基本组成描述正确的选项是：A.审计系统一般包括三个局部：日志记录、日志分析和日志处理B.审计系统一般包含两个局部：日志记录和日志处理C.审计系统一般包含两个局部：日志记录和日志分析D.审计系统一般包含三个局部：日志记录、日志分析和日志报告118、在ISO的OSI安全体系构造中，以下哪一个安全机制可以提供抗抵赖安全服务A.加密B.数字签名C.访问控制D.路由控制119、在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务A.网络层B.表示层C会话层D.物理层120、WAPI采用的是什么加密算法A.我国自主研发的公开密钥体制的椭圆曲线密码算法B.国际上通行的商用加密标准C.国家密码管理委员会办公室批准的流加密标准D.国际通行的哈希算法121、通常在VLAN时，以下哪一项不是VLAN的规划方法A.基于交换机端口B.基于网络层协议C.基于MAC地址D.基于数字证书122、某个客户的网络现在可以正常访问Internet互联网，共有200台终端PC但此客户从ISP〔互联网络服务提供商〕里只获得了16个公有的IPv4地址，最多也只有16台PC可以访问互联网，要想让全部200台终端PC访问Internet互联网最好采取什么方法或技术：A、花更多的人民币向ISP申请更多的IP地址B、在网络的出口路由器上做源NATC、在网络的出口路由器上做目的NATD、在网络出口处增加一定数量的路由器123、以下哪一个数据传输方式难以通过网络窃听获取信息A.FTP传输文件B.TELNET进展远程管理C.URL以S开头的网页内容D.经过TACACS+认证和授权后建设的连接124、桥接或透明模式是目前对比流行的防火墙部署方式，这种方式的优点不包括：A.不需要对原有的网络配置进展修改B.性能对比高C.防火墙本身不容易受到攻击D.易于在防火墙上实现NAT125、下面哪一项为哪一项对IDS的正确描述A、基于特征〔Signature-based〕的系统可以检测新的攻击类型B、基于特征〔Signature-based〕的系统化基于行为〔behavior-based〕的系统产生更多的误报C、基于行为〔behavior-based〕的系统维护状态数据库来与数据包和攻击相匹配D、基于行为〔behavior-based〕的系统比基于特征〔Signature-based〕的系统有更高的误报126、以下哪些选项不属于NIDS的常见技术A.协议分析B.零拷贝C.SYN

Cookie

D.IP碎片重组127、在UNIX系统中输入命令“IS-ALTEST〞显示如下：“-rwxr-xr-x3rootroot1024Sep1311：58test〞对它的含义解释错误的选项是：A.这是一个文件，而不是目录B.文件的拥有者可以对这个文件进展读、写和执行的操作C.文件所属组的成员有可以读它，也可以执行它D.其它所有用户只可以执行它128、在Unix系统中，/etc/service文件记录了什么内容A、记录一些常用的接口及其所提供的服务的对应关系B、决定inetd启动网络服务时，启动那些服务C、定义了系统缺省运行级别，系统进入新运行级别需要做什么D、包含了系统的一些启动脚本129、以下对windows账号的描述，正确的选项是：A、windows系统是采用SID〔安全标识符〕来标识用户对文件或文件夹的权限B、windows系统是采用用户名来标识用户对文件或文件夹的权限C、windows系统默认会生成administration和guest两个账号，两个账号都不允许改名和删除D、windows系统默认生成administration和guest两个账号，两个账号都可以改名和删除130、以下对于Windows系统的服务描述，正确的选项是：A、windows服务必须是一个独立的可执行程序B、windows服务的运行不需要用户的交互登录C、windows服务都是随系统的启动而启动，无需用户进展干预D、windows服务都需要用户进展登录后，以登录用户的权限进展启动131、以下哪一项不是IIS服务器支持的访问控制过滤类型A.网络地址访问控制B.WEB服务器许可C.NTFS许可D.异常行为过滤132、为了实现数据库的完整性控制，数据库管理员应向DBMS提出一组完整性规那么来检查数据库中的数据，完整性规那么主要由3局部组成，以下哪一个不是完整性规那么的内容A.完整性约束条件B.完整性检查机制C.完整性修复机制D.违约处理机制133、数据库事务日志的用途是什么A.事务处理B.数据恢复C.完整性约束D.保密性控制134、以下哪一项与数据库的安全有直接关系A.访问控制的粒度B.数据库的大小C.关系表中属性的数量D.关系表中元组的数量135、下面对于cookie的说法错误的选项是：A、cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息B、cookie可以存储一些敏感的用户信息，从而造成一定的安全风险C、通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗D、防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session验证方法136、以下哪一项为哪一项和电子邮件系统无关的A、PEMB、PGPC、X500D、X400137、ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是：A、d.confB、srm.confC、access.confD、inetd.conf138、Java安全模型〔JSM〕是在设计虚拟机〔JVN〕时，引入沙箱〔sandbox〕机制，其主要目的是：A、为服务器提供针对恶意客户端代码的保护B、为客户端程序提供针对用户输入恶意代码的保护C、为用户提供针对恶意网络移动代码的保护D、提供事件的可追查性139、恶意代码采用加密技术的目的是：A.加密技术是恶意代码自身保护的重要机制B.加密技术可以保证恶意代码不被发现C.加密技术可以保证恶意代码不被破坏D.以上都不正确140、恶意代码反跟踪技术描述正确的选项是：A反跟踪技术可以减少被发现的可能性B.反跟踪技术可以防止所有杀毒软件的查杀C.反跟踪技术可以防止恶意代码被消除D.以上都不是141、以下关于计算机病毒感染能力的说法不正确的选项是：A.能将自身代码注入到引导区B.能将自身代码注入到扇区中的文件镜像C.能将自身代码注入文本文件中并执行D.能将自身代码注入到文档或模板的宏中代码142、当用户输入的数据被一个解释器当作命令或查询语句的一局部执行时，就会产生哪种类型的漏洞A.缓冲区溢出B.设计错误C.信息泄露D.代码注入143、完整性检查和控制的防范对象是________,防止它们进入数据库。A.不合语义的数据、不正确的数据B.非法用户C.非法数据D.非法授权144、存储过程是SQL语句的一个集合，在一个名称下储存，按独立单元方式执行，以下哪一项不是使用存储过程的优点：A.提高性能，应用程序不用重复编译此过程B.降低用户查询数量，减轻网络拥塞C.语句执行过程中如果中断，可以进展数据回滚，保证数据的完整性和一致性D.可以控制用户使用存储过程的权限，以增强数据库的安全性145、以下哪项内容描述的是缓冲区溢出漏洞A、通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终到达欺骗服务器执行恶意的SQL命令B、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行C、当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上D、信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷146、以下工作哪个不是计算机取证准备阶段的工作A.获得授权B.准备工具C.介质准备D.保护数据147、以下哪个问题不是导致DNS欺骗的原因之一A.DNS是一个分布式的系统B.为提高效率，DNS查询信息在系统中会缓存C.DNS协议传输没有经过加密的数据D.DNS协议是缺乏严格的认证148、以下哪个是ARP欺骗攻击可能导致的后果A.ARP欺骗可直接获得目标主机的控制权B.ARP欺骗可导致目标主机的系统崩溃，蓝屏重启C.ARP欺骗可导致目标主机无法访问网络D.ARP欺骗可导致目标主机149、以下哪个攻击步骤是IP欺骗〔IPSpoof〕系列攻击中最关键和难度最高的A.对被冒充的主机进展拒绝服务攻击，使其无法对目标主机进展响应B.与目标主机进展会话，猜想目标主机的序号规那么C.冒充受信主机向目标主机发送数据包，欺骗目标主机D.向目标主机发送指令，进展会话操作150、以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击A.LandB.UDP

Flood

C.Smurf

DTeardrop

151、如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这种情况属于哪一种攻击A.重放攻击B.Smurf攻击C.字典攻击D.中间人攻击152、域名注册信息可在哪里找到A.路由器B.DNS记录C.Whois数据库D.MIBs库153、网络管理员定义“noipdirectedbroadcast〞以减轻下面哪种攻击A.DIECAST

B.SMURFC.BATCAST

D.COKE

154、下面哪一项不是黑客攻击在信息收集阶段使用的工具或命令：A.Nmap

B.Nslookup

C.LCD.Xscan

155、下面关于软件测试的说法错误的选项是：A、所谓“黑盒〞测试就是测试过程不测试报告中的进展描述，切对外严格保密B、出于安全考虑，在测试过程中尽量不要使用真实的生产数据C、测试方案和测试结果应当成为软件开发工程文档的主要局部被妥善的保存D、软件测试不仅应关注需要的功能是否可以被实现，还要注意是否有不需要的功能被实现了156、以下哪一项不属于Fuzz测试的特性A、主要针对软件漏洞或可靠性错误进展测试B、采用大量测试用例进展鼓励、响应测试C、一种试探性测试方法，没有任何理论依据D、利用构造畸形的输入数据引发被测试目标产生异常157、Shellcode是什么A.是用C语言编写的一段完成特殊功能代码B.是用汇编语言编写的一段完成特殊功能代码C.是用机器码组成的一段完成特殊功能代码D.命令行下的代码编写158、通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进展响应，直至被攻击者再也无法处理有效的网络信息流时，这种攻击被称之为：A.LAND攻击B.Smurf攻击C.PingofDeath攻击D.ICMP

Flood159、以下哪种方法不能有效提高WLAN的安全性：A.修改默认的服务区标识符〔SSID〕B.制止SSID播送C.启用终端与AP间的双向认证D.启用无线AP的开放认证模式160、以下哪项是对抗ARP欺骗有效的手段A.使用静态的ARP缓存B.在网络上阻止ARP报文的发送C.安装杀毒软件并更新到最新的病毒库D.使用linux系统提高安全性161、下面关于ISO27002的说法错误的选项是：A.ISO27002的前身是ISO17799-1B.ISO27002给出了通常意义下的信息安全管理最正确实践供组织机构选用，但不是全部C.ISO27002对于每个控制措施的表述分“控制措施〞、“实施指南〞、和“其他信息〞三个局部来进展描述D.ISO27002提出了十一大类的安全管理措施，其中风险评估和处置是处于核心地位的一类安全措施162、下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的：A.设置网络连接时限B.记录并分析系统错误日志C.记录并分析用户和管理员操作日志D.启用时钟同步163、以下安全控制措施的分类中，哪个分类是正确的〔p-预防性的，D-检测性的以及C-纠正性的控制〕1、网络防火墙2、RAID级别33、银行账单的监视复审4、分配计算机用户标识5、交易日志A、p,p,c,d,andCB、d,c,c,d,andDC、p,c,d,p,andDD、p,d,p,p,andC164、风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程，关于这些过程，以下的说法哪一个是正确的A.风险分析准备的内容是识别风险的影响和可能性B.风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度C.风险分析的内容是识别风险的影响和可能性D.风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施165、你来到服务器机房股比的一间办公室，发现窗户坏了，由于这不是你的办公室，你要求在这里办公的员工请维修工来把窗户修好，你离开后，没有再过问这扇窗户的事情。这件事情的结果对与特定脆弱性相关的威胁真正出现的可能性会有什么影响A.如果窗户被修好，威胁真正出现的问题性会增加B.如果窗户被修好，威胁真正出现的可能性会保持不变C.如果窗户没有被修好，威胁真正出现的可能性会下降D.如果窗户没有被修好，威胁真正出现的可能性会增加166、在对安全控制进展分析时，下面哪个描述是不准确的A.对每一项安全控制都应该进展成本收益分析，以确定哪一项安全控制是必须的和有效的B.应确保选择对业务效率影响最小的安全措施C.选择好实施安全控制的时机和位置，提高安全控制的有效性D.仔细评价引入的安全控制对正常业务的影响，采取适当措施，尽可能减少负面效应167、以下哪一项不是信息安全管理工作必须遵循的原那么A.风险管理在系统开发之处就应该予以充分考虑，并要贯穿于整个系统开发过程之中B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作C.由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低D.在系统正式运行后，应注重剩余风险的管理，以提高快速反响能力168、对信息安全风险评估要素理解正确的选项是：A.资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构B.应针对构成信息系统的每个资产做风险评价C.脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项D.信息系统面临的安全威胁仅包括人为成心威胁、人为非成心威胁169、以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容：A.出入的原因B.出入的时间C.出入口的位置D.是否成功进入170、信息安全策略是管理层对信息安全工作意图和方向的正式表述，以下哪一项不是信息安全策略文档中必须包含的内容：A.说明信息安全对组织的重要程度B.介绍需要符合的法律法规要求C.信息安全技术产品的选型范围D.信息安全管理责任的定义171、作为信息中心的主任，你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任，这种情况造成了一定的安全风险。这时你应当若何做A.抱怨且无能为力B.向上级报告该情况，等待增派人手C.通过部署审计措施和定期审查来降低风险D.由于增加人力会造成新的人力成本，所以承受该风险172、以下人员中，谁负有决定信息分类级别的责任A.用户B.数据所有者C.审计员D.安全官173、某公司正在对一台关键业务服务器进展风险评估，该服务器价值138000元，针对某个特定威胁的暴露因子〔EF〕是45%，该威胁的年度发生率〔ARO〕为每10年发生一次，根据以上信息，该服务器的年度预期损失值〔ALE〕是多少A、1800元B、62100元C、140000元D、6210元174、以下哪些内容应包含在信息系统战略方案中A.已规划的硬件采购的标准B.将来业务目标的分析C.开发工程的目标日期D.信息系统不同的年度预算目标175、ISO27002中描述的11个信息安全管理控制领域不包括：A.信息安全组织B.资产管理C.内容安全D.人力资源安全176、依据国家标准?信息安全技术信息系统灾难恢复标准?〔GB/T20988〕，需要备用场地但不要求部署备用数据处理设备的是灾难恢复等级的第几级A.2B.3

C.4

D.5

177、以下哪一种备份方式在恢复时间上最快A.增量备份B.差异备份C.完全备份D.磁盘备份178、计算机应急响应小组的简称是：A.CERTB.FIRST

C.SANA

D.CEAT

179、有一些信息安全事件是由于信息系统中多个局部共同作用造成的，人们称这类事件为“多组件事故〞，应对这类安全事件最有效的方法是：A.配置网络入侵检测系统以检测某些类型的违法或误用行为B.使用防病毒软件，并且保持更新为最新的病毒特征码C.将所有公共访问的服务放在网络非军事区〔DMZ〕D.使用集中的日志审计工具和事件关联分析软件180、依据国家标准?信息安全技术信息系统灾难恢复标准?〔GB/T20988〕，灾难恢复管理过程的主要步骤是灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预制定和管理；其中灾难恢复策略实现不包括以下哪一项A.分析业务功能B.选择和建设灾难备份中心C.实现灾备系统技术方案D.实现灾备系统技术支持和维护能力181、在进展应用系统的测试时，应尽可能防止使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须作的：A.测试系统应使用不低于生产系统的访问控制措施B.为测试系统中的数据部署完善的备份与恢复措施C.在测试完成后立即去除测试系统中的所有敏感数据D.部署审计措施，记录生产数据的拷贝和使用182、下面有关能力成熟度模型的说法错误的选项是：A.能力成熟度模型可以分为过程能力方案〔Continuous〕和组织能力方案〔Staged〕两类B.使用过程能力方案时，可以灵活选择评估和改良哪个或那些过程域C.使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域D.SSE-CMM是一种属于组织能力方案〔Staged〕的针对系统安全工程的能力成熟度模型183、一个组织的系统安全能力成熟度到达哪个级别以后，就可以对组织层面的过程进展标准的定义A.2级——方案和跟踪B.3级-——充分定义C.4级——量化控制D.5级——持续改良184、以下哪项不是信息系统的安全工程的能力成熟度模型〔SSE-CMM〕的主要过程：A、风险评估B、保证过程C、工程过程D、评估过程185、SSE-CMM工程过程区域中的风险过程包含哪些过程区域：A.评估威胁、评估脆弱性、评估影响B.评估威胁、评估脆弱性、评估安全风险C.评估威胁、评估脆弱性、评估影响、评估安全风险D.评估威胁、评估脆弱性、评估影响、验证和证实安全186、信息系统安全工程〔ISSE〕的一个重要目标就是在IT工程的各个阶段充分考虑安全因素，在IT工程的立项阶段，以下哪一项不是必须进展的工作：A.明确业务对信息安全的要求B.识别来自法律法规的安全要求C.论证安全要求是否正确完整D.通过测试证明系统的功能和性能可以满足安全要求187、信息化建设和信息安全建设的关系应当是：A.信息化建设的完毕就是信息安全建设的开场B.信息化建设和信息安全建设应同步规划、同步实施C.信息化建设和信息安全建设是交替进展的，无法区分谁先谁后D.以上说法都正确188、如果你作为甲方负责监管一个信息安全工程工程的实施，当乙方提出一项工程变更时你最应当关注的是：A.变更的流程是否符合预先的规定B.变更是否会对工程进度造成拖延C.变更的原因和造成的影响D.变更后是否进展了准确的记录189、以下哪项是对系统工程过程中“概念与需求定义〞阶段的信息安全工作的正确描述A.应基于法律法规和用户需求，进展需求分析和风险评估，从信息系统建设的开场就综合信息系统安全保障的考虑B.应充分调研信息安全技术开展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品C.应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的标准并切实落实D.应详细规定系统验收测试中有关系统安全性测试的内容190、在进展应用系统的测试时，应尽可能防止使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必